Rechenschaft über die Einhaltung der Datenschutzgrundsätze ablegen

Rechenschaft über die Einhaltung der Datenschutzgrundsätze ablegen

Rechenschaft kommt von Rechtschaffenheit.

Mit der DSGVO ist nunmehr die Rechenschaft als Pflicht für die Unternehmer in den Grundsätzen des Datenschutzes verankert worden.
Das bedeutet, dass wir jederzeit belegen können müssen, dass wir die Grundsätze aus dem Datenschutz einhalten.
Die Grundsätze sind der Kern der Bestimmungen im Datenschutz.

Du findest dazu einiges in meinen Artikeln.

Lass uns aber noch mal die einzelnen Grundsätze in Erinnerung rufen:

  1. Rechtmäßigkeit und Transparenz:

Das bedeute ich benötige eine Rechtsgrundlage damit ich personenbezogene Daten verarbeiten darf. Als wichtigste Basis dafür wird die Einwilligung gesehen. Dies setzt aber voraus, dass der Zustimmende genau informiert ist. (Daraus resultiert die Informationspflicht im Sinne der Transparenz.)

  1. Zweckbindung:

Ich muss mit der Verarbeitung der personenbezogenen Daten einen klar festgelegten Zwecke verfolgen. Typisch dafür ist die Vertragserfüllung, sodass ich z.B. die Adresse benötige, wenn ich eine Ware liefern soll.

  1. Datenminimierung:

Ich darf folglich nicht mehr personenbezogene Daten erheben, als für den Zweck angemessen und erheblich ist. Also keine überschießende Datensammlung.

  1. Richtigkeit:

Ich habe die vorhandenen personenbezogenen Daten zu pflegen und unrichtige personenbezogene Daten zu löschen oder zu berichtigen. (nicht nur auf Antrag sondern aktiv!)

  1. Speicherbegrenzung:

Die Speicherung von personenbezogenen Daten dürfen nur so lange eroflgen, als sie tatsächlich benötigt werden. Danach sind diese Daten zu löschen oder zu anonymisieren.

  1. Integrität und Vertraulichkeit:

Hier geht es um die Setzung von technischen und organisatorischen Maßnahmen um den Schutz der personenbezogenen Daten zu gewährleisten. Entsprechend der Risikoklasse der Daten angepasst.

Grundsatz der Rechenschaft als Pflicht

 

Mit der Einführung der Pflicht zur Rechenschaft kommt es damit zu einer Beweislastumkehrung. Das bedeutet, dass nicht ein Betroffener oder die Aufsichtsbehörde mir eine Verletzung der Grundsätze nachweisen muss, sondern ich als Unternehmer muss belegen, dass ich alles für die Einhaltung der Grundsätze getan habe.

Daraus resultiert die Dokumentationspflicht in den Unternehmen.

Betroffene – das heißt Menschen von denen ich personenbezogene Daten in meinem Unternehmen sammle – haben ein Auskunftsrecht über die Verarbeitung Ihrer Daten in meinem Unternehmen.

Jeder Betroffene von dem ich personenbezogene Daten sammle kann folglich bei jedem Unternehmer anfragen welche Daten aus welchem Grund und auf welcher Rechtsbasis bei mir gesammelt und verarbeitet werden. Jede natürliche Person kann eigenständig überprüfen, wer wo welche Daten von ihm gespeichert hat und entsprechend die Löschung der Daten fordern oder der Verarbeitung widersprechen.

Was hat die Auskunft zu beinhalten? 

  1. Die konkret verarbeiteten Daten, dazu zählen auch die Dokumente wie emails, Briefe, Protokolle oder sonstige Datensätze aus Datenverarbeitungsprogrammen (wie zB CRM-Datenbanken)
  2. Ich muss die Rechtsgrundlage sowie den Zweck aufgrund derer ich die Daten verarbeite angeben. Für viele Unternehmer sind dies die Erfüllung von Verträgen mit den Betroffenen aber auch gesetzliche Pflichten (wie z.B. die Rechnungslegungspflicht)
  3. An wen werden Daten weitergegeben? Also Dritte Empfänger von Daten, das kann ein Subunternehmer, aber auch ein Dienstleister (z.B. externer Buchhalter) sein. Hier habe ich als Unternehmer über einen Auftragsverarbeitervertrag zu gewährleisten, dass Dritte, die Aufgaben für mich übernehmen, ebenso die Grundsätze der DSGVO einzuhalten. Aber auch aufgrund von gesetzlichen Pflichten kann es zur Weitergabe von Daten kommen wie zum Beispiel an eine Behörde wie dem Finanzamt.
  4. Wie lange speichere ich die Daten im Unternehmen? Also entweder eine konkret geplante Speicherfrist oder zumindest die Kriterien für die Festlegung der Speicherdauer
  5. Im besonderen die Herkunft der Daten, wenn ich diese nicht nicht beim Betroffenen selbst erhoben habe (z.B. Zukauf von Kontaktdaten)
  6. Sofern die Daten ausserhalb des EU-Raums verarbeitet und gespeichert werden, muß der Unternehmer die Grundlage und die dafür beigegebene Garantien belegen können. (z.B. geben IT-Unternehmen beim Erwerb von Software-Lizenzen im Auftrag der Unternehmer Daten an die Lizenzgeber weiter)

Diese Information habe ich jedem Betroffenen auf Antrag binnen 4 Wochen zur Verfügung stellen. Diesem Recht habe ich einmal im Jahr kostenlos nachzukommen. Was im Umkehrschluss aber auch bedeutet, dass ich bei schikanösen mehrmaligen Anfragen hier Aufwands-Kosten in Rechnung stellen kann, nicht jedoch, dass ich die Auskunft verweigern kann.

Was beinhaltet die Pflicht zur Rechenschaft?

 

Wie bereits erwähnt ist eine der Nachweispflichten, die daraus resultiert der Nachweis über die Einhaltung der Grundsätze des Datenschutzes.

Diesen Nachweis muss ich im Rahmen einer Kontrolle der Datenschutzbehörde jederzeit vorlegen können.

Entsprechend habe ich eine Dokumentation zur Verarbeitung von personenbezogenen Daten im Unternehmen vorzubereiten um sie jederzeit verfügbar zu haben.

Neben dem Nachweis für die Einhaltung der Datenschutzgrundsätze habe ich vor allem die Zustimmung zur Verarbeitung nachzuweisen. Das ist erforderlich, wenn die Verarbeitung nicht aufgrund einer gesetzlichen oder vertraglichen Pflicht erfolgt. Das klassische Beispiel dafür ist z.B. die Anmeldung zu einem Newsletter. Es geht hier im Kern um die Rechtmäßigkeit der Verarbeitung. Das bedeute auf welcher Rechtsgrundlage verarbeite ich Daten in meinem Unternehmen. Ebenso ist die Erforderlichkeit der Verarbeitung zu belegen.

Die Sicherheit der Daten zählt ebenso zu den Grundsätzen. Folglich muss ich schriftlich dokumentieren welche Maßnahmen im technischen und organisatorischen Bereich gesetzt wurden. Also um die Daten vor Abwanderung, Missbrauch, Verfälschung und Löschung zu schützen.
Dabei haben sich die Maßnahmen an der Menge der Daten und dem Risikofaktor der Daten zu orientieren. Öffentlich zugängliche Daten benötigen einen geringen Schutz.

Im Gegenzug sind  Daten die dazu geeignet sind das Ansehen oder die Existenz der Betroffenen Person zu gefährden entsprechend höhere Schutzmaßnahmen zu ergreifen. Das gilt umso mehr wenn es sich um sensible Daten wie z.B. alle Gesundheitsdaten handelt.
Aber auch Zeugnisse und Beurteilungen von Menschen, die nicht unter sensible Daten einzustufen sind, sind geeignet das Ansehen oder die Existenz einer Person zu gefährden.

Dokumentationspflicht als Basis

 

Daher ist die Dokumentation aller Maßnahmen eine der wichtigsten Grundlagen um der Rechenschaftspflicht gegenüber den Betroffenen aber auch gegenüber den Aufsichtsbehörden nachkommen zu können.

Der erste Schritt dahin ist folglich sich ernsthaft damit auseinanderzusetzen welche personenbezogene Daten es gibt und in welchen Dateisystemen sich diese befinden.
Dies ermöglicht mir, die entsprechenden Daten zu klassifizieren, die Rechtsgrundlage und den Zweck dafür zu formulieren und die erforderlichen Sicherungsmaßnahmen festzulegen.

Der Datenschutz ist etwas Lebendes. Es geht also nicht nur darum die Dokumentation einmal zu erstellen, sondern auch in regelmäßigen Abständen die Einhaltung des Datenschutzes zu überprüfen.
Entsprechend sind diese Überprüfungen ebenso zu protokollieren, wie Ansuchen auf Auskunft oder Datenpannen.

Wer die Grundsätze des Datenschutzes verstanden hat, dem wird es auch möglich sein, diesen in die Prozesse im Unternehmen zu integrieren. Aber auch bei der Neugestaltung von Prozessen sollte der Datenschutz immer ein Teil der Definition für die verschiedenen Schritte sein.

Jederzeit auch auf Anfrage: Datenschutz Seminare und Mitarbeiterschulungen

 

Folgende Artikel könnten für Dich auch noch interessant sein:

Daten löschen oder aufbewahren?

Datenschutz und wie die Digitalisierung hilft

Datenschutz ist eine Aufforderung zum Aufräumen

Den Datenschutz einfach als Chance sehen

Datenschutz vereinfacht für Jungunternehmer

 

 

 

7 Comments

Post A Comment